रिमोट कोड एक्झिक्यूशन भेद्यतेचे निराकरण करण्यासाठी BIND DNS सर्व्हर अपडेट करत आहे

BIND DNS सर्व्हर 9.11.31 आणि 9.16.15 च्या स्थिर शाखांसाठी, तसेच प्रायोगिक शाखा 9.17.12 साठी सुधारात्मक अद्यतने प्रकाशित केली गेली आहेत, जी विकासात आहे. नवीन रिलीझ तीन असुरक्षा संबोधित करतात, त्यापैकी एक (CVE-2021-25216) बफर ओव्हरफ्लोला कारणीभूत ठरते. 32-बिट सिस्टीमवर, विशेष तयार केलेली GSS-TSIG विनंती पाठवून आक्रमणकर्त्याचा कोड दूरस्थपणे कार्यान्वित करण्यासाठी भेद्यतेचा फायदा घेतला जाऊ शकतो. 64 सिस्टीमवर समस्या नामित प्रक्रियेच्या क्रॅशपर्यंत मर्यादित आहे.

समस्या तेव्हाच दिसून येते जेव्हा GSS-TSIG यंत्रणा सक्षम केली जाते, tkey-gssapi-keytab आणि tkey-gssapi-क्रेडेन्शियल सेटिंग्ज वापरून सक्रिय केली जाते. GSS-TSIG डिफॉल्ट कॉन्फिगरेशनमध्ये अक्षम केले जाते आणि सामान्यत: मिश्र वातावरणात वापरले जाते जेथे BIND सक्रिय निर्देशिका डोमेन नियंत्रकांसह एकत्रित केले जाते, किंवा सांबासह एकत्रीकरण करताना.

क्लायंट आणि सर्व्हरद्वारे वापरल्या जाणार्‍या संरक्षण पद्धतींवर वाटाघाटी करण्यासाठी GSSAPI मध्ये वापरल्या जाणार्‍या SPNEGO (सिंपल अँड प्रोटेक्टेड GSSAPI निगोशिएशन मेकॅनिझम) यंत्रणेच्या अंमलबजावणीतील त्रुटीमुळे भेद्यता उद्भवली आहे. डायनॅमिक DNS झोन अपडेट्स ऑथेंटिकेट करण्याच्या प्रक्रियेत वापरल्या जाणार्‍या GSS-TSIG विस्ताराचा वापर करून सुरक्षित की एक्सचेंजसाठी GSSAPI चा उच्च-स्तरीय प्रोटोकॉल म्हणून वापर केला जातो.

SPNEGO च्या अंगभूत अंमलबजावणीमध्ये गंभीर भेद्यता पूर्वी आढळून आल्याने, या प्रोटोकॉलची अंमलबजावणी BIND 9 कोड बेसमधून काढून टाकण्यात आली आहे. ज्या वापरकर्त्यांना SPNEGO समर्थन आवश्यक आहे, GSSAPI द्वारे प्रदान केलेली बाह्य अंमलबजावणी वापरण्याची शिफारस केली जाते. सिस्टम लायब्ररी (MIT Kerberos आणि Heimdal Kerberos मध्ये प्रदान केलेली).

BIND च्या जुन्या आवृत्त्यांचे वापरकर्ते, समस्या अवरोधित करण्यासाठी उपाय म्हणून, सेटिंग्जमध्ये GSS-TSIG अक्षम करू शकतात (पर्याय tkey-gssapi-keytab आणि tkey-gssapi-credential) किंवा SPNEGO यंत्रणेच्या समर्थनाशिवाय BIND पुन्हा तयार करू शकतात (पर्याय "- स्क्रिप्ट "कॉन्फिगर" मध्ये -disable-isc-spnego). तुम्ही खालील पानांवर वितरणातील अद्यतनांची उपलब्धता ट्रॅक करू शकता: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. RHEL आणि ALT Linux पॅकेजेस मूळ SPNEGO समर्थनाशिवाय तयार केली जातात.

याव्यतिरिक्त, प्रश्नातील BIND अद्यतनांमध्ये आणखी दोन भेद्यता निश्चित केल्या आहेत:

• CVE-2021-25215 — DNAME रेकॉर्डवर प्रक्रिया करताना नामित प्रक्रिया क्रॅश झाली (सबडोमेनच्या भागाची पुनर्निर्देशित प्रक्रिया), ज्यामुळे उत्तर विभागात डुप्लिकेट जोडले गेले. अधिकृत DNS सर्व्हरवरील भेद्यतेचे शोषण करण्यासाठी प्रक्रिया केलेल्या DNS झोनमध्ये बदल करणे आवश्यक आहे आणि रिकर्सिव्ह सर्व्हरसाठी, अधिकृत सर्व्हरशी संपर्क साधल्यानंतर समस्याग्रस्त रेकॉर्ड मिळवता येतो.
• CVE-2021-25214 - खास तयार केलेल्या इनकमिंग IXFR विनंतीवर प्रक्रिया करताना नामित प्रक्रिया क्रॅश होते (DNS सर्व्हरमधील DNS झोनमध्ये वाढीव बदल करण्यासाठी वापरली जाते). समस्या केवळ अशा प्रणालींना प्रभावित करते ज्यांनी आक्रमणकर्त्याच्या सर्व्हरवरून DNS झोन हस्तांतरणास परवानगी दिली आहे (सामान्यत: झोन हस्तांतरण मास्टर आणि स्लेव्ह सर्व्हर सिंक्रोनाइझ करण्यासाठी वापरले जाते आणि केवळ विश्वासार्ह सर्व्हरसाठी निवडकपणे परवानगी दिली जाते). सुरक्षा उपाय म्हणून, तुम्ही “request-ixfr no;” सेटिंग वापरून IXFR समर्थन अक्षम करू शकता.

स्त्रोत: opennet.ru